Bild: quinn norton (cc-by-2.0)
Open-Source-Aktivist Harald Welte untersucht seit einiger Zeit das Mobilfunknetz GSM - und stieß auf eklatante Probleme. Die Technologie sei noch viel zu wenig erforscht, weil die Hersteller blockierten, sagt er im TR-Interview.
Welte, geboren 1979, war unter anderem im Netzwerkbereich an der Linux-Kernsoftware beteiligt, arbeitete federführend am Open-Source-Handy "OpenMoko" und ist heute als Open-Source-Stratege beim taiwanesischen Chip-Hersteller VIA beschäftigt. Er ist im Chaos Computer Club (CCC) aktiv und betreibt die Plattform gpl-violations.org, die auf Rechtsverletzungen im Free-Software-Bereich aufmerksam macht.
Technology Review: Herr Welte, Sie haben Ende des Jahres auf dem Chaos Communication Congress in Berlin (26C3) ihr OpenBSC-Projekt vorgestellt, das eine Mobilfunk-Basisstation in Form freier Software nachbaut. Erklärtes Ziel dabei ist es, die nähere Begutachtung solcher GSM-Netze zu erlauben, die bislang nur Experten möglich war. War das ein großes Abenteuer für Sie?
Harald Welte: Sagen wir, es war eine Herausforderung. Ich beschäftige mich ja seit vielen Jahren mit IT-Sicherheit und wundere mich immer, warum sich unzählige Forscher und Hacker immer nur mit TCP/IP beschäftigen, aber eher selten über den Internet-Tellerrand hinaus sehen. In den letzten fünf Jahren habe ich mich mit den Kommunikationsprotokollen von RFID, DECT und jetzt zuletzt eben auch GSM beschäftigt – eben weil in diesen Bereichen kaum sonst jemand auf dieser Ebene die Sicherheit untersucht.
TR: Auf dem 26C3 wurden auch mehrere eklatante Sicherheitslücken in den GSM-Netzen demonstriert, die weltweit von mehr als zwei Milliarden Menschen genutzt werden. Wenn Sie heute mit einem solchen Handy telefonieren, haben Sie dabei ein mulmiges Gefühl?
Welte: Für mich sind die demonstrierten Sicherheitslücken ja nichts neues, gerade die Probleme mit dem Verschlüsselungsalgorithmus A5/1 sind ja in wissenschaftlichen Veröffentlichungen 1997, 2003 und 2006 schon einer Fachöffentlichkeit bekannt. Demnach fühle ich mich beim Telefonieren heute nicht anders als vor einem oder zwei Jahren.
Schlimm ist hingegen, dass diese Information bis heute nicht weiter Verbreitung gefunden hat, und es dank des Oligopols der GSM-Industrie keine sichereren Produkte gibt. Nur die Kenntnis der Sicherheitsprobleme kann zu der Nachfrage nach sichereren Produkten führen.
TR: Wie man auf dem Chaos Communication Congress hören könnte, liegen die Sicherheitsprobleme bei GSM auch darin begründet, dass es keinerlei offene Testmöglichkeiten gab und die Entwicklung rein industrieintern ablief. Was ist hier noch an Problemen zu erwarten?
Welte: Um Sicherheit von Kommunikationsprotokollen untersuchen zu koennen, sind quellenoffene Implementationen unabdingbar. Im TCP/IP-Bereich gibt es viele offene Implementationen wie beispielsweise als Teil des Linux- oder *BSD-Kernel. Die fehlende Verfügbarkeit quellenoffener Implementationen der GSM-Protokolle hat dazu geführt, dass Sicherheitsforschung ausserhalb der Herstellerindustrie meist nur theoretischer Natur bleiben musste.
Mit OpenBSC und OpenBTS [einer offenen Implementation des Funkteils einer GSM-Basisstation, Anm. d. Red.] haben wir nun zwei unabhängige Open Source implementationen für die Mobilfunk-Netzseite. Jedermann kann nun also ein kleines Mobilfunknetz betreiben und testen, was ein Netzbetreiber (oder jemand, der sich als solches ausgibt) mit Telefonen anstellen kann.
Was uns nach wie vor fehlt, ist eine offene Implementation der Telefon-Seite. Diese unterscheidet sich drastisch von der Netzseite, da GSM ein sehr asymmetrisches System ist, in dem das Netz "master" und das Telefon "slave" ist. Eine offene Implementation der Telefonseite würde es uns ermöglichen, Sicherheitstests der Mobilfunknetze zu betreiben.
Weiterhin fehlt es noch stark an den automatisierten Werkzeugen. In der Internet-Security haben wir Paketfilter, Protocol-Analyzer, Port-Scanner oder Tools zum Fuzzing. In der GSM-Welt sieht man hier erst die Anfänge.
An Problemen würde ich erwarten, dass nun erstmals äffentlich Exploits im GSM-Stack von Mobiltelefonen gefunden werden. Dank fehlendem Speicherschutz, Stack Protection, veralteten Betriebssystemen, etc. hat ein Angreifer dann sofort den kompletten Baseband-Chip [der die Kommunikation mit dem GSM-Netz regelt, Anm. d. Red.] unter Kontrolle.
TR: GSM ist mittlerweile über 20 Jahre alt. Wäre es heute noch möglich, einen solchen Standard derart "im Geheimen" zu etablieren, wie das hier offenbar geschah?
Welte: Die GSM-Spezifikation ist mit Ausnahme der kryptographischen Algorithmen vollständig öffentlich dokumentiert und kann in mehr als 1000 Einzeldokumenten bei der ETSI und der 3GPP kostenlos heruntergeladen werden.
Demnach wuerde ich nicht davon sprechen, dass der Standard geheim ist. Die spezifische Machtstruktur der Herstellerindustrie hat es jedoch bis heute der Open-Source-Szene und kleinen Firmen verunmöglicht, eigene Implementationen und nicht zuletzt Innovationen in die GSM-Protokolle einzubringen.
Im Internet gibt es offene Gremien wie die IETF und das W3C. Zu jedem Protokoll gibt es zahlreiche Implementationen, sowohl quellenoffen als auch proprietär. Das liegt daran, dass diese Protokolle alle letztlich auf Ethernet aufbauen, und die Hardware von Ethernet-Controllern hinreichend dokumentiert ist.
Im Mobilfunkbereich gibt es eben dies nicht. Kein einziger Mobilfunk-Chipsatz (Baseband Chipset) wird so offen dokumentiert, dass unabhängige Dritte eine eigene Protokoll-Implementation durchführen könnten. Dies ist bei UMTS nicht anders, und selbst bei LTE zeichnet sich keine Änderung ab. Somit ist die Situation unverändert.
Die einzigen geheimgehaltenen Teile sind die Verschlüsselungsverfahren A5/1 und A5/2. Dass "Security by Obscurity" nicht funktioniert, hat man inzwischen bei Mifare Crypto1, DECT und eben auch GSM gesehen. Ich bezweifle, dass heute noch irgendjemand ernstzunehmendes auf geheimgehaltene Verschlüsselungsverfahren setzt.
TR: Bislang beschäftigt sich die Sicherheitsforscher-Community vor allem mit GSM, nicht jedoch mit dem Nachfolgestandard UMTS, der sich immer stärker durchsetzt. Wann erwarten Sie, dass dieser offenliegt? Wo liegen dabei die Probleme?
Welte: Die UMTS-Spezifikationen liegen ebenfalls bei der 3GPP öffentlich vor. Im Gegenteil zu GSM wurden hier sogar die Algorithmen zur Verschlüsselung und Authentisierung öffentlich spezifiziert. Die Frage ist allerdings, wann für die UMTS-Protokolle quellenoffene Implementationen vorliegen, da diese wiederum eine wichtige Basis für die angewandte Sicherheitsforschung darstellen.
TR: Ist bei UMTS mit ähnlichen Sicherheitsproblemen zu rechnen, wie sie jetzt für GSM gezeigt wurden? Sind Probleme wie die unsichere Verschlüsselung oder die fehlende Authentifizierung des Netzes - Handys prüfen nicht, ob eine Basisstation "echt" ist - hier behoben?
Welte: Der Verschlüsselungsalgorithmus bei UMTS ist, soweit derzeit erforscht, deutlich besser als der von GSM. Auf der Asiacrypt-Konferenz im Dezember gab es aber auch hier eine bedrohlich klingende wissenschaftliche Veröffentlichung.
Bei UMTS ist "mutual authentication", also die gegenseitige Authentifizierung von Mobiltelefon und Netz, im Standard spezifiziert. Leider kann das Netz jedoch bereits vor dieser Authentifizierung ein Umschalten des Telefons auf GSM erzwingen und damit diesen Sicherheitsmodus aushebeln, solange der Anwender seinem Telefon nicht verboten hat, noch GSM zu benutzen.
TR: Glauben Sie, das GSM-Hacking zu einem Trendthema werden könnte? Oder ist die benötigte Hardware dafür noch zu teuer?
Welte: Ein Trendthema wird es wohl nicht werden, es ist nach wie vor ein exotisches Thema in der Security-Community. Aber ich hoffe doch sehr, dass wir in diesem Jahr verstärkt GSM-Hacks sehen, um den dringend nötigen Druck auf die Industrie zu erzeugen, ihre Systeme nachzubessern.
TR: GSM scheint einige heutzutage kaum zu rechtfertigenden Sicherheitsprobleme zu haben. So hat, wie Sie bereits erwähnt hatten, der Verschlüsselungsalgorithmus Schwächen und jedes Gerät verbindet sich ohne Nachfrage mit dem am stärksten funkenden Netz, das auch von einem Angreifer betrieben werden kann. Wie konnte es überhaupt zu einer solchen Umsetzung kommen?
Welte: Die GSM-Protokolle wurden in den Achtzigerjahren entwickelt, da herrschte noch kalter Krieg, das Internet existierte nicht – und Kryptographie wurde wie Waffen behandelt. Der Einsatz von DES mit einer Schlüssellänge von 56 Bit war dem Finanzwesen vorbehalten, und es wäre nicht erlaubt gewesen, ein stärkeres Verschlüsselungsverfahren im Standard festzuschreiben. Aus Angst vor Exportkontrollen hat man sich damals absichtlich auf ein Niveau unterhalb des auch schon damals technisch möglichen begeben.
Das Problem mit der fehlenden Authentifizierung des Netzes geht vermutlich eher auf das Mindset der Zeit zurück: Telefonnetze wurden von staatlichen Stellen wie der Deutschen Bundespost betrieben, welchen grundsätzlich Vertrauen zu schenken ist. Auch heute ist das im Mobilfunk-Kernnetz so, wo jeder GSM-Netzbetreiber allen anderen Netzbetreibern vertraut. Es gibt kein Äquivalent von Paketfiltern zwischen den Anbietern [wie man sie aus dem Internet kennt, Anm. d. Red.].
TR: Andere Drahtlos-Standards wie Bluetooth, DECT oder WLAN lassen sich inzwischen mit günstiger Hardware verschlüsselt abhören, um sie dann in Ruhe zu knacken. Wird das bei GSM auch so kommen?
Welte: Eigentlich ist das Aufzeichnen von GSM auch nicht sonderlich schwierig. Ein Funkkanal hat nur 200 kHz Bandbreite und eine Brutto-Datenrate von zirka 270 Kilotbit pro Sekunde. Diese sind insbesondere für die heutige Technik absolut leicht verarbeit- und speicherbar – deutlich leichter als Bluetooth oder WLAN.
Die einzige Schwierigkeit bei GSM liegt in dem Frequency Hopping, dessen genaue Parameter in der Regel für jeden Sprachanruf individuell vergeben werden. Da diese Übertragung bereits über den verschlüsselten Kanal geschieht, ist die genaue Sprungsequenz dem Abhörer nicht von vorne herein bekannt.
Es bleibt also die Variante, das komplette Frequenzband mitzuschneiden. Dies sind je nach Anbieter bis zu einige hundert Kanäle, das heißt man braucht erheblich aufwändigere Funk-Hardware.
In der Praxis vergibt eine Funkzelle aus technischen Gründen aber oft für alle Gespräche die gleiche Sprungsequenz. Hat man diese in einer bestimmten Funkzelle vorher durch eine eigenen Anruf bestimmt, kann man sich das für den eigentlichen Angriff merken und kommt dann wieder mit sehr einfacher und günstiger Hardware aus, vergleichbar mit der eines normalen Mobiltelefons.
Es ist also davon auszugehen, dass wir bei entsprechendem Interesse interessierter Hacker und Bastler in Kürze Hardware mit dreistelligem Euro-Preis finden, mit der man die meisten Gespräche erstmal verschlüsselt mitschneiden könnte.
TR: Bei UMTS geht der Trend zu so genannten Micro- oder auch Femtocells – Basisstationen, die der Nutzer bei sich zuhause aufstellt, um die Netzabdeckung zu verbessern. Werden diese Geräte bereits aktiv gehackt?
Welte: Durchaus. In der Szene sind alle derzeit am Markt befindlichen Geräte bereits hinreichend analysiert. Der Aufbau (und das Fehlen von Sicherheitsmechanismen) ist mit dem von einem typischen Linux-basieren WLAN-Router oder DSL-Modem vergleichbar. Ich gehe davon aus, dass man hier in den nächsten Monaten verstärkt über kreative Nutzungen der Geräte hören wird.
Permalink: http://heise.de/-894676
